セキュリティのためにVLANを使用しないように言われるのはなぜですか？

タイトル通り、なぜ人々はセキュリティ目的でVLANを使用しないように私に言うのですか？

ネットワークがあり、VLANがいくつかあります。2つのVLAN間にファイアウォールがあります。HP Procurveスイッチを使用しており、スイッチ間リンクがタグ付きフレームのみを受け入れ、ホストポートがタグ付きフレームを受け入れないようにしました（「VLAN対応」ではありません）。また、トランクリンクのネイティブVLAN（PVID）が2つのホストVLANのいずれとも同じではないことを確認しました。「イングレスフィルタリング」も有効にしました。さらに、ホストポートが単一のVLANのメンバーのみであることを確認しました。これは、それぞれのポートのPVIDと同じです。複数のVLANのメンバーであるポートは、トランクポートのみです。

上記が安全ではない理由を誰かが私に説明できますか？二重タグ付けの問題に対処したと思います。

ありがとう

更新：両方のスイッチはHP Procurve 1800-24Gです

セキュリティの目的でVLANを使用しないように言われるのはなぜですか？

潜在的な問題を完全に理解していない場合は実際のリスクがあり、環境を許容できるポイントまでリスクを軽減するためにネットワークを適切にセットアップします。多くの場所で、VLANは2つのVLAN間の適切なレベルの分離を提供します。

上記が安全ではない理由を誰かが私に説明できますか？

かなり安全なセットアップを実現するために必要なすべての基本的な手順を実行したようです。しかし、私はHPギアに完全には精通していません。環境に十分対応できているかもしれません。

あまりにも良い記事は、Cisco VLAN Security White Paperです。

VLANベースのネットワークに対する攻撃の可能性のリストが含まれています。これらの一部は、一部のスイッチでは不可能であるか、インフラストラクチャ/ネットワークの適切な設計によって軽減できます。時間をかけてそれらを理解し、環境内でリスクを回避するために必要な努力に見合うリスクがあるかどうかを判断します。

記事から引用。

• MACフラッディング攻撃
• 802.1QおよびISLタグ付け攻撃
• 二重カプセル化された802.1Q /ネストされたVLAN攻撃
• ARP攻撃
• プライベートVLAN攻撃
• マルチキャストブルートフォース攻撃
• スパニングツリー攻撃

こちらもご覧ください：

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/VLAN-Based+Network+Attacks/

特定の値のsecureに対して安全です。

ファームウェアのバグ、スイッチ構成のリセット、人為的エラーにより、安全性が低下する可能性があります。スイッチおよびスイッチ自体の構成にアクセスできる人がごく少数である限り、一般的なビジネス環境では問題ありません。

ただし、非常に機密性の高いデータは物理的に分離します。

過去には、VLANホッピングを行う方が簡単だったことを思い出すようです。そのため、「人々」がこれを言っているのかもしれません。しかし、なぜあなたは「人々」に理由を尋ねませんか？彼らがあなたに言った理由を推測することしかできません。HIPAAおよびPCI監査員は、セキュリティのためにVLANに問題がないことを知っています。

コアの問題は、実際にはトラフィックを分離するのではなく、ブロードキャストドメインを分離するだけなので、VLANが安全ではないことだと思います。複数のVLANからのすべてのトラフィックは、引き続き同じ物理ワイヤ上を流れます。そのトラフィックにアクセスできるホストは、常に無差別モードに設定して、回線上のすべてのトラフィックを表示できます。

スイッチが実際にどのデータをどのポートに表示するかを制御しているため、明らかにスイッチの使用はそのリスクをかなり軽減しますが、基本的なリスクは依然として存在します。